{"id":1818,"date":"2019-05-28T00:00:00","date_gmt":"2019-05-28T00:00:00","guid":{"rendered":"http:\/\/v32019.vaadata.com\/blog?p=1818"},"modified":"2021-07-15T09:59:24","modified_gmt":"2021-07-15T07:59:24","slug":"pentest-interne-tout-savoir-sur-ce-type-d-audit-de-securite","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/pentest-interne-tout-savoir-sur-ce-type-d-audit-de-securite\/","title":{"rendered":"Pentest interne : tout ce que vous devez savoir sur ce type d\u2019audit de s\u00e9curit\u00e9"},"content":{"rendered":"\n
\"Audit<\/figure><\/div>\n\n\n\n

Quand on parle de cyberattaques, on pense souvent \u00e0 des activit\u00e9s malveillantes provenant d\u2019attaquants externes \u00e0 l\u2019entreprise, alors que les attaques informatiques internes<\/strong> sont en forte progression.  Dans le Insider Threat Report 2019<\/a>, on y apprend que 59% des entreprises sond\u00e9es aurait subi une attaque de ce type durant l\u2019ann\u00e9e \u00e9coul\u00e9e.<\/p>\n\n\n\n

Se prot\u00e9ger de l\u2019int\u00e9rieur contre ces attaques est donc tout aussi important que de se d\u00e9fendre contre des attaques externes.<\/p>\n\n\n\n\n\n\n\n

En quoi consiste un pentest interne ?<\/span><\/h2>\n\n\n\n

Lors d\u2019un pentest interne<\/strong>, les tests se font depuis l\u2019int\u00e9rieur de l\u2019entreprise ou parfois via un VPN. Le plus souvent, les pentesters se d\u00e9placent dans les locaux de l\u2019entreprise, am\u00e8nent leur mat\u00e9riel et se mettent dans la configuration d\u2019un attaquant interne. <\/p>\n\n\n\n

Pourquoi faire un pentest interne ?<\/span><\/h2>\n\n\n\n

Le pentest interne<\/a> permet de mesurer le risque de compromission de votre r\u00e9seau interne<\/strong>. Il s\u2019agit de rep\u00e9rer les mauvaises configurations, d\u2019identifier les vuln\u00e9rabilit\u00e9s internes exploitables par un attaquant et de mesurer les cons\u00e9quences sur le r\u00e9seau interne si une machine \u00e9tait compromise. Ensuite, des solutions sont propos\u00e9es afin que les failles soient corrig\u00e9es.<\/p>\n\n\n\n

Quelles diff\u00e9rences avec un pentest externe ?<\/span><\/h2>\n\n\n\n

La premi\u00e8re diff\u00e9rence est que\nl\u2019on peut tester la s\u00e9curit\u00e9 de plus d\u2019\u00e9l\u00e9ments depuis l\u2019int\u00e9rieur d\u2019une\norganisation. L\u2019attaquant ext\u00e9rieur n\u2019a en effet qu\u2019une vue limit\u00e9e du r\u00e9seau\ninterne de sa cible. <\/p>\n\n\n\n

La deuxi\u00e8me diff\u00e9rence notable est que le profil des\nattaquants n\u2019est pas le m\u00eame. Tout employ\u00e9 et les personnels li\u00e9s d\u2019une mani\u00e8re\nou d\u2019une autre \u00e0 l\u2019entreprise et ses locaux (prestataires, fournisseurs,\ninvit\u00e9s, etc.) peuvent \u00eatre, intentionnellement ou non, \u00e0 la source d\u2019une\nattaque ou d\u2019une fuite de donn\u00e9es sensibles. Leur acc\u00e8s au r\u00e9seau interne de\nl\u2019entreprise est un risque potentiel.<\/p>\n\n\n\n

La troisi\u00e8me diff\u00e9rence est que des attaques par ing\u00e9nierie sociale<\/a> suppl\u00e9mentaires sont possibles, comme le d\u00e9p\u00f4t de cl\u00e9s USB. <\/p>\n\n\n\n

Mise en oeuvre d’un test d’intrusion interne<\/span><\/h2>\n\n\n\n

Lors de la pr\u00e9paration d\u2019un test d’intrusion interne, la premi\u00e8re \u00e9tape est la d\u00e9finition du sc\u00e9nario d\u2019intrusion. Le pentester se mettra-t-il dans la peau d\u2019un stagiaire, d\u2019un employ\u00e9 ou d\u2019un visiteur ? Aura-t-il acc\u00e8s \u00e0 une connexion filaire ou Wi-Fi ? Aura-t-il acc\u00e8s \u00e0 un r\u00e9seau r\u00e9serv\u00e9 aux invit\u00e9s ou au r\u00e9seau utilis\u00e9 par les employ\u00e9s ? Plusieurs sc\u00e9narios peuvent \u00eatre choisis pour mener un audit le plus exhaustif possible.<\/p>\n\n\n\n

Cartographie du r\u00e9seau<\/span><\/h3>\n\n\n\n

Une fois sur place, le pentester\ncommence \u00e0 cartographier le r\u00e9seau, \u00e0 r\u00e9pertorier tous les serveurs, proxies,\nrouteurs, postes de travail ou autres h\u00f4tes, accessibles. M\u00eame une imprimante\npeut \u00eatre utilis\u00e9e \u00e0 des fins malveillantes en interceptant les documents en\ncours d\u2019impression par exemple.<\/p>\n\n\n\n

Vient ensuite une identification plus pouss\u00e9e des machines. Il faut d\u00e9terminer leur type et leur r\u00f4le dans le r\u00e9seau. Apr\u00e8s cela, le pentester scanne les ports de tous les h\u00f4tes qu\u2019il a trouv\u00e9s \u00e0 la recherche des services utilis\u00e9s. Une \u00e9num\u00e9ration des utilisateurs du r\u00e9seau est \u00e9galement r\u00e9alis\u00e9e.<\/p>\n\n\n\n

Identification des vuln\u00e9rabilit\u00e9s<\/span><\/h3>\n\n\n\n

Apr\u00e8s le scan de ports, les\nversions des services et syst\u00e8mes d\u2019exploitation utilis\u00e9s sont \u00e9tudi\u00e9es. Le\npentester recherche celles qui ne sont plus \u00e0 jour ou plus maintenues. Ne pas\nmettre \u00e0 jour son mat\u00e9riel, c\u2019est s\u2019exposer \u00e0 des vuln\u00e9rabilit\u00e9s connues et\nsouvent document\u00e9es, avec donc des attaques qui ont fait leurs preuves. <\/p>\n\n\n\n

L\u2019audit se poursuit par l\u2019\u00e9coute\ndu trafic sur le r\u00e9seau avec un analyseur de paquet comme Wireshark. Certains\nprotocoles de communication ne sont pas s\u00e9curis\u00e9s mais continuent d\u2019\u00eatre\nutilis\u00e9s. De la m\u00eame mani\u00e8re, les communications Wi-Fi doivent \u00eatre chiffr\u00e9es\nafin de garantir que les donn\u00e9es envoy\u00e9es ne soient pas lisibles par un\nattaquant. Les m\u00e9thodes de chiffrement comme le WEP (Wired Equivalent Privacy) et\ncertaines versions du WPA (Wi-Fi Protected Access) sont facilement crackables.<\/p>\n\n\n\n

Le pentester v\u00e9rifie ensuite que les diff\u00e9rents r\u00e9seaux sont bien herm\u00e9tiquement s\u00e9par\u00e9s les uns des autres. Il peut par exemple arriver que dans les zones r\u00e9serv\u00e9es aux invit\u00e9s se trouvent des prises Ethernet oubli\u00e9es et li\u00e9es au r\u00e9seau d\u2019entreprise, annulant ainsi l\u2019utilit\u00e9 d\u2019un Wi-Fi d\u00e9di\u00e9.<\/p>\n\n\n\n

Exploitation des vuln\u00e9rabilit\u00e9s<\/span><\/h3>\n\n\n\n

Une fois toutes les\nvuln\u00e9rabilit\u00e9s \u00e9num\u00e9r\u00e9es, le pentester se lance dans leur exploitation en se concentrant\nsur les plus repr\u00e9sentatives ou les plus int\u00e9ressantes du point de vue d\u2019un\nattaquant.<\/p>\n\n\n\n

\u00c0 partir des versions des\nservices, il peut trouver les login et mots de passe par d\u00e9faut des diff\u00e9rents\nservices et h\u00f4tes. Il arrive souvent que ces derniers ne soient pas modifi\u00e9s.\nEn interceptant le trafic r\u00e9seau (avec par exemple de l\u2019empoisonnement de cache\nARP), des identifiants valides sont parfois r\u00e9cup\u00e9r\u00e9s.<\/p>\n\n\n\n

Les mots de passe par d\u00e9faut et\nceux r\u00e9cup\u00e9r\u00e9s par interception sont test\u00e9s. Des attaques cibl\u00e9es contre les\nh\u00f4tes vuln\u00e9rables sont lanc\u00e9es pour gagner en privil\u00e8ge dans le r\u00e9seau et\nr\u00e9cup\u00e9rer des donn\u00e9es sensibles. D\u2019autres attaques sont lanc\u00e9es pour v\u00e9rifier \u00e0\nla fin de l\u2019audit si elles ont \u00e9t\u00e9 rep\u00e9r\u00e9es par le syst\u00e8me de d\u00e9fense du r\u00e9seau\nde l\u2019entreprise.<\/p>\n\n\n\n

Que faire suite \u00e0 un test d’intrusion interne ?<\/span><\/h2>\n\n\n\n

Une fois le pentest termin\u00e9, la premi\u00e8re chose \u00e0 faire est de corriger les failles qui ont \u00e9t\u00e9 d\u00e9tect\u00e9es, c\u2019est-\u00e0-dire faire des mises \u00e0 jour, remplacer les syst\u00e8mes obsol\u00e8tes, s\u2019assurer que les applications et le personnel n\u2019ont acc\u00e8s qu\u2019\u00e0 ce dont ils ont besoin sur le r\u00e9seau. Les droits de chacun doivent \u00eatre g\u00e9r\u00e9s avec attention et le personnel doit \u00eatre sensibilis\u00e9 \u00e0 la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

L\u2019id\u00e9al, enfin, est de mettre en\nplace un syst\u00e8me de monitoring du r\u00e9seau (IDS \/ IPS) afin que les activit\u00e9s\nsuspectes, comme le scan de ports, soient rep\u00e9r\u00e9es et bloqu\u00e9es.<\/p>\n","protected":false},"excerpt":{"rendered":"

Quand on parle de cyberattaques, on pense souvent \u00e0 des activit\u00e9s malveillantes provenant d\u2019attaquants externes \u00e0 l\u2019entreprise, alors que les attaques informatiques internes sont en forte progression.  Dans le Insider Threat Report 2019, on y apprend que 59% des entreprises sond\u00e9es aurait subi une attaque de ce type durant l\u2019ann\u00e9e \u00e9coul\u00e9e. Se prot\u00e9ger de l\u2019int\u00e9rieur<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13],"tags":[],"class_list":{"0":"post-1818","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-solutions-fr"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1818","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=1818"}],"version-history":[{"count":5,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1818\/revisions"}],"predecessor-version":[{"id":3970,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/1818\/revisions\/3970"}],"wp:attachment":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=1818"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=1818"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=1818"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}